UNIVERSIDAD
CATÓLICA ANDRÉS BELLO
POSTGRADO
SISTEMAS DE INFORMACIÓN
SEGURIDAD DE
LAS TRANSACCIONES EN LA RED
SEGURIDAD
EN LA RED
Dentro
del Comercio Electrónico existe una diversidad de aspectos relativos con la
seguridad que abarcan tanto la perspectiva legal: Nombres de Dominio, Propiedad
Intelectual, Contratos Electrónicos, Firma Digital, entre otros, hasta los
relativos a la Confidencialidad y la Autenticidad, lo cual condiciona de manera
directa la realización de las transacciones a través de la
Red.
De acuerdo con las necesidades comunicacionales inducidas por el avance
tecnológico, cada día es mas perentorio garantizar la confiabilidad de los
intercambios de información que se realizan a través de Internet, lo cual
implica la participación de diversos actores, el usuario, el intermediario, la
entidad o persona que recepciona el documento o transacción, así como los entes
gubernamentales que condicionan y supervisan la validez jurídica en el ámbito
del derecho civil de los actos comerciales que se realizan a través de medios
electrónicos.
El presente resumen abarca principalmente lo relativo a los aspectos que
componen la garantía de legitimidad del documento electrónico, por ello se asume
a la confidencialidad como la capacidad de mantener un documento
electrónico inaccesible a todos, excepto a una o una lista de personas, y a la
autenticidad que refiere a la capacidad de determinar si esa persona o
lista de personas han establecido su reconocimiento y/o compromiso sobre el
contenido del documento electrónico.
El problema de la autenticidad en un documento tradicional se soluciona
mediante la firma autógrafa, ya que mediante ésta, un individuo, o varios,
manifiestan su voluntad de reconocer el contenido de un documento, y en su caso,
a cumplir con los compromisos que el documento establezca.
Existe una diferencia sutil pero muy importante entre el concepto de
autenticidad y el concepto de compromiso. Por ejemplo usted puede presenciar que
un documento fue escrito por alguien pues lo vio en persona. Si el documento no
esta firmado autógrafamente usted estará absolutamente convencido de su
autenticidad pero no podrá probarlo pues sin la firma autógrafa es imposible
establecer el vinculo entre la voluntad de la persona y el contenido del
documento.
Si se puede probar a terceros que efectivamente el documento es autentico
entonces se dice que el documento genera compromiso. Si un documento es
no-repudiable es autentico pero no viceversa.
Una característica básica de un documento autentico es su
integridad. En un documento tradicional como un contrato o cheque, si se
aprecian modificaciones o tachones el documento es prácticamente invalidado. En
un documento electrónico en donde por errores de transmisión o fallas en el
medio de almacenaje o intencionadamente se modifica el contenido original del
documento entonces el documento pierde su integridad y por tanto su
autenticidad, lo cual equivale a decir que un documento es autentico ,y por ello entonces es integro pero no
viceversa.
Estos problemas, confidencialidad, integridad, autenticidad y compromiso
se resuelven mediante la tecnología llamada ¨Criptografía¨. A
mediados de la década de los setenta dos matemáticos de la Universidad de
Standford y otros del Instituto Tecnológico de Massachusetts, descubrieron que
al aplicar algunas fórmulas y conceptos matemáticos, era posible solucionar la
problemática de la confidencialidad y autenticidad de la información digital. A
este conjunto de técnicas se les denomino como la Criptografía de Llave Pública.
El modelo de llave pública mas conocido y utilizado mundialmente es el
denominado RSA por las siglas de los apellidos de los descubridores Rivest,
Shamir y Adelman.
En un sistema en donde la forma tradicional de realizar operaciones
comerciales esta siendo reemplazado por métodos electrónicos resulta de suma
importancia contar no solo con la tecnología, sino con un marco legal que norme
la validez de los documentos electrónicos, en ello radica la importancia de que
en nuestros países contemos con una base legal que conceda, a los documentos
firmados digitalmente, un tratamiento similar a la de los documentos
tradicionales firmados autógrafamente.
El problema de la confidencialidad no es tampoco un problema
estrictamente técnico también es conveniente estudiar las implicaciones legales
del uso de esta tecnología que permite al individuo mantener información
confidencial fuera del alcance del Estado, sea de naturaleza licita o
no.
La Firma Digital resulta siendo el primer punto de análisis por la
necesidad de contar con Seguridad en las transacciones comerciales, que son el
punto fundamental del Comercio Electrónico. Es pues una necesidad para el
desarrollo del C.E. la implementación de normas claras sobre firma digital y
certificado digital, dado que permiten la identificación tanto en esquemas
Empresa-Empresa, Empresa-Consumidor, Empresa-Gobierno e Individuo-Estado.
Al reducir la prevalencia de los documentos en soporte papel, y con ello,
las firmas manuscritas, pasa a ser necesario una nueva manera de autenticar o
mostrar la aceptación en relación con los documentos emitidos en un soporte
electrónico.
¿Pero
qué es la firma electrónica ?
Una
firma electrónica es un bloque de caracteres que acompaña a un documento o
fichero acreditando quién es su autor (autenticación) y que no ha existido
ninguna manipulación posterior de los datos (integridad). Para firmar un
documento digital, su autor utiliza su propia clave secreta (sistema
criptográfico asimétrico), a la que sólo el tiene acceso, lo que impide que
pueda después negar su autoría (no revocación o no repudio). De esta forma, el
autor queda vinculado al documento de la firma. La validez de dicha firma podrá
ser comprobada por cualquier persona que disponga de la clave pública del
autor.
¿
Cómo se realiza una firma electrónica ?
El software del firmante aplica un algoritmo hash sobre el
texto a firmar, obteniendo un extracto de longitud fija, y absolutamente
específico para ese mensaje. Un mínimo cambio en el mensaje produciría un
extracto completamente diferente, y por tanto no correspondería con el que
originalmente firmó el autor. Los algoritmos hash más utilizados
son el MD5 ó SHA-1. El extracto conseguido, cuya longitud oscila entre 128 y 160
bits (según el algoritmo utilizado), se somete a continuación a cifrado mediante
la clave secreta del autor. El algoritmo más utilizado en este procedimiento de
encriptación asimétrica es el RSA. De esta forma obtenemos un extracto final
cifrado con la clave privada del autor, el cual se añadirá al final del texto o
mensaje para que se pueda verificar la autoría e integridad del documento por
aquella persona interesada que disponga de la clave pública del
autor.
|
Figura
1 |
|
Figura
2 |
Es conveniente señalar que, a diferencia de la firma autógrafa, si dos
documentos son diferentes entonces la firma digital es diferente. En otras
palabras la firma digital cambia de documento a documento, si un sujeto firma
dos documentos diferentes producirá dos documentos firmados diferentes. Si dos
sujetos firman un mismo documento, también se producen dos diferentes documentos
firmados.
¿
Cómo se comprueba la validez de la firma digital?
Para poder verificar la validez del documento o fichero es necesario la
clave pública del autor.
El procedimiento sería el siguiente: el software del receptor, previa
introducción en el mismo de la clave pública de remitente (obtenida a través de
una Autoridad de Certificación), descifraría el extracto cifrado del autor y a
continuación calcularía el extracto hash que le correspondería al texto del
mensaje y, si el resultado coincide con el extracto anteriormente descifrado, se
considera válida; en caso contrario significaría que el documento ha sufrido una
modificación posterior y por lo tanto no es válido.
Las metodologías expuestas involucran necesariamente técnicas de
encriptación, hay dos tipos de encriptación, la encriptación simétrica que
obliga a los dos interlocutores (emisor y receptor) del mensaje a utilizar la
misma clave para encriptar y desencriptar el mismo (como por ejemplo el
criptosistema DES, Data Encription Standard, desarrollado por IBM), y la
encriptación asimétrica o criptográfica de claves públicas que está basada en el
concepto de pares de claves, de forma que cada uno de los elementos del par (una
clave) puede encriptar información que solo la otra componente del par (la otra
clave) puede desencriptar. El par de claves se asocia con un solo interlocutor,
así un componente del par (la clave privada) solamente es conocida por su
propietario mientras que la otra parte del par (la clave pública) se publica
ampliamente para que todos la conozcan (en este caso destaca el famoso
criptosistema RSA cuyas iniciales son las de sus creadores: Rivest, Shamir y
Adelman).
Por otra
parte se deben considera los aspectos que permitan certificar la generación y
autenticidad de las claves, denominadas Autoridades de Certificación, quienes
constituyen la tercera parte fiable que acredita la unión entre una determinada
clave y su propietario real, y actúa como una especie de notario electrónico que
extiende un certificado de claves el cual está firmado con su propia
clave, para así garantizar la autenticidad de dicha información, y por lo tanto
otorgan confianza
en la infraestructura de clave pública.
Certificados
de Servidor.
El Certificado de Servidor aporta a un WEB SITE la característica de
seguridad y confianza necesaria para poder entablar cualquier tipo de relación
con los potenciales usuarios, por lo que se convierte en elemento imprescindible
para aprovechar toda potencialidad que supone el comercio a través de
Internet con la máxima rentabilidad y seguridad.
Los Certificados de Servidor permiten incorporar el protocolo SSL (Secure
Socket Layer) en un servidor Web. Gracias a este protocolo toda comunicación
entre el cliente y el servidor permanece segura, cifrando la información que se
envía a ambos puntos protegiendo los datos personales, datos de tarjetas de
crédito, números de cuenta, passwords, etc. aspecto neurálgico de las
transacciones electrónicas.
Certificados
para WAP
Los Certificados WAP permiten a las WEB comerciales existentes y de nueva
creación la realización de transacciones seguras con los consumidores mediante
dispositivos de telefonía móvil. Los nuevos portales basados en transacciones
móviles seguras expandirán el comercio electrónico entre los usuarios móviles y
los WEB SITES dedicados al comercio.
Certificados
Personales
Otorgan seguridad a los correos electrónicos basados en un standard
S/MIME. Podrá Firmar o cifrar los mensajes de correo para asegurarse de que sólo
el receptor designado sea el lector de nuestro mensaje.
CA’s
Corporativas
Es la solución óptima para las empresas que quieran disponer de un
sistema de generación de cualquier tipo de Certificado para sus usuarios
(trabajadores, proveedores, clientes, etc.) y servidores.
Una CA Corporativa puede generar cualquier tipo de certificado, ya sean
Certificados Personales, de Servidor, para WAP, para firmar Código e incluso
para IPSec-VPN.
En función del tipo de funcionalidad que se le quiera dar a la CA se
deberá escogerse un diferente tipo de CA Corporativa.
Certificados
para firmar Código
El Certificado para la Firma de Código, permitirá a un Administrador,
Desarrollador o Empresa de Software firmar su Software (ActiveX, Applets Java,
Plug-ins, etc.) y Macros, y distribuirlo de una forma segura entre sus
clientes.
Certificados
para IPSec-VPN
Los Certificados para VPN son los elementos necesarios para que la
empresa aproveche las cualidades y ventajas de la utilización de las VPNs de un
modo plenamente seguro.
Las VPNs
surgen como consecuencia de la creciente demanda de Seguridad en las
comunicaciones ya sea entre Router-Router o Cliente-Servidor. La apertura de las
redes corporativas a empleados remotos (con gran importancia en el caso del
Teletrabajo), sucursales, business partners o clientes.
Ahora sería interesante que observara el
siguiente clip sobre la seguridad en las
comunicaciones electrónicas.
Disfutenlo....